Microsoft controlla i danni con la sua nuova «iniziativa per un futuro sicuro».

Sulla scia dei recenti attacchi informatici che hanno compromesso i dati di milioni di utenti ed esposto le vulnerabilità dei suoi servizi cloud, Microsoft ha annunciato una nuova iniziativa per migliorare le sue pratiche di sicurezza e privacy. L’iniziativa, denominata «Secure Future», mira ad affrontare le cause principali delle violazioni, a migliorare la resilienza dei suoi sistemi e a ripristinare la fiducia dei suoi clienti e partner.

Según una publicación de blog del presidente de Microsoft, Brad Smith, la iniciativa Secure Future se centrará en cuatro áreas clave: fortalecer la seguridad de sus productos y servicios, invertir en investigación e innovación, colaborar con la industria y las partes interesadas del gobierno, y educar y empoderar a los usuarios. Smith dijo que Microsoft está comprometido a «asumir la responsabilidad de nuestro papel en el ecosistema digital» y «hacer todo lo posible para prevenir, detectar y responder a los ciberataques».

Alcune delle azioni specifiche che Microsoft intende intraprendere nell’ambito dell’iniziativa Secure Future includono:

– Esegui una revisione completa delle tue politiche e procedure di sicurezza e implementa le migliori pratiche in tutta la tua organizzazione.

– Aumentare la spesa per la sicurezza informatica del 20% nei prossimi cinque anni e assumere più di 1.000 esperti di sicurezza.

– Sviluppare nuove tecnologie e strumenti per migliorare la protezione e la crittografia dei dati, nonché il rilevamento e la mitigazione delle minacce.

– Collaborare con altre aziende tecnologiche, agenzie governative, forze dell’ordine e gruppi della società civile per condividere informazioni e coordinare le risposte agli incidenti informatici.

– Lancio di una nuova piattaforma online per fornire agli utenti risorse e indicazioni su come proteggere i propri dispositivi, account e dati.

– Offrire valutazioni di sicurezza e formazione gratuite ai propri clienti e partner, soprattutto alle piccole e medie imprese.

Smith ha riconosciuto che l’iniziativa Secure Future non è una «soluzione rapida» o una «soluzione miracolosa», ma piuttosto un «impegno a lungo termine» che richiede un «miglioramento continuo». Ha anche ammesso che Microsoft «non ha rispettato» i propri standard e le proprie aspettative nella prevenzione e nella gestione dei cyberattacchi e si è scusato per i disagi e i danni causati ai suoi utenti. Ha dichiarato che Microsoft è determinata a «imparare dai nostri errori» e a «fare meglio» in futuro.

L’iniziativa Secure Future dovrebbe essere lanciata all’inizio del 2024, con aggiornamenti e rapporti regolari sui suoi progressi e sul suo impatto. Smith ha dichiarato che Microsoft spera che l’iniziativa non solo migliori la propria posizione di sicurezza, ma contribuisca anche a «un mondo digitale più sicuro per tutti».

La strategia annunciata da Microsoft giovedì ha molti aspetti, ma uno dei più concreti e rilevanti è il modo in cui migliorerà le pratiche di ingegneria e sviluppo del software. In un’e-mail ai dipendenti, Charlie Bell, vicepresidente esecutivo della sicurezza di Microsoft, e i suoi colleghi Scott Guthrie e Rajesh Jha, hanno illustrato un piano per rafforzare la sicurezza dei sistemi di gestione delle identità nei prodotti Microsoft, migliorare la qualità e la sicurezza del codice software e ridurre il tempo e l’impegno necessari per rispondere e risolvere le vulnerabilità, in particolare quelle che riguardano i servizi cloud.

Questo annuncio arriva in un momento in cui Microsoft è stata criticata per gli incidenti in cui le falle nei suoi prodotti hanno permesso agli aggressori (sia criminali informatici in cerca di profitto che hacker sponsorizzati dallo Stato) di compromettere i sistemi di Microsoft e dei suoi clienti. La situazione sta cambiando anche perché le autorità di regolamentazione e le forze dell’ordine cercano nuovi modi per scoraggiare e prevenire gli attacchi dannosi.

Ad esempio, lunedì la Securities and Exchange Commission (SEC) degli Stati Uniti ha sporto denuncia contro SolarWinds e il suo responsabile della sicurezza informatica per aver presumibilmente omesso di rivelare e affrontare «rischi e vulnerabilità di cybersicurezza» che, secondo la SEC, erano noti.

Microsoft ha dichiarato giovedì che la sua Secure Future Initiative è una risposta alle crescenti minacce degli aggressori. «Negli ultimi mesi, in Microsoft siamo giunti alla conclusione che la crescente velocità, portata e sofisticazione dei cyberattacchi richiede una nuova risposta», ha scritto Brad Smith, vicepresidente e presidente di Microsoft.